Dlaczego nie powinniśmy znać własnych haseł Password

Od 2009 r. agenci celnicy USA i ochrony granic pozwolono przeszukiwać urządzenia elektroniczne prowadzone przez obywateli lub obcokrajowców przekraczających granicę do Stanów Zjednoczonych z innych krajów. Niedawno sekretarz bezpieczeństwa wewnętrznego John Kelly zasugerował, że ta cyfrowa weryfikacja powinna również obejmować: zbieranie haseł do mediów społecznościowych. Propozycja Kelly skłoniła ekspertów prawnych i technologicznych do odpowiedzi List otwarty wyrażanie głębokiego zaniepokojenia wszelkimi zasadami, które wymagają, aby ludzie naruszali „pierwszą zasadę bezpieczeństwa online”: Nie udostępniaj swoich haseł. Konwersacje

Sami podróżni również odpowiedzieli: szukają sposobów na uniknięcie wydawania haseł do urządzeń agentom federalnym. Jedno podejście – to, co moglibyśmy nazwać metodą „Nic do zobaczenia” – stara się uniemożliwić wyszukiwanie urządzenia przez kasowanie dysku twardego przed podróżą, odinstalowywanie aplikacji mediów społecznościowych, rozładowywanie baterii urządzenia, a nawet czyszczenie urządzenia, jeśli hasło awaryjne lub „przymus” został wprowadzony.

Podejście „Chciałbym przestrzegać, ale nie mogę” obejmuje egzotyczne rozwiązania, takie jak instalowanie uwierzytelniania dwuskładnikowego na urządzeniu lub koncie w mediach społecznościowych, a następnie tworzenie drugiego czynnika (takiego jak hasło lub klucz cyfrowy) dostępne tylko w odległej lokalizacji. Odzyskanie drugiego czynnika wymagałoby nakazu i wyjazdu poza przejście graniczne.

Metody te są niebezpieczne, ponieważ stawiają już zestresowanego podróżnika w sytuacji, w której rzuca wyzwanie organom ścigania na granicy, m.in otoczenie prawne, które ma na celu wsparcie rządu a nie podróżnik. Właściwe przestrzeganie tej rady wymaga również starannego wykonania umiejętności technicznych, których większość podróżnych nie posiada. A stopień wcześniejszego planowania i wymaganego przygotowania sam w sobie może być uważany za oznakę podejrzanej działalności wymagającej głębszej analizy przez funkcjonariuszy granicznych.

Ale kuszące jest zastanowienie się: czy informatycy i projektanci oprogramowania tacy jak ja mogą stworzyć lepszy system haseł? Czy możemy uczynić „Chciałbym przestrzegać, ale nie mogę” jedyną możliwą odpowiedzią dla każdego podróżnika? Krótko mówiąc, czy możemy tworzyć hasła, których nawet ich właściciele nie znają?

wewnętrzna grafika subskrypcji

Wyszukiwanie nieznanego hasła

Tworzenie nieznanych haseł to aktywny obszar badań nad bezpieczeństwem. W 2012 roku zespół ze Stanford University, Northwestern University i centrum badawczego SRI opracował schemat wykorzystania gry komputerowej podobnej do „Guitar Hero” do wytrenuj podświadomy mózg, aby nauczył się serii naciśnięć klawiszy. Kiedy muzyk uczy się na pamięć, jak grać utwór muzyczny, nie musi myśleć o każdej nucie czy sekwencji. Staje się zakorzenioną, wytrenowaną reakcją, którą można wykorzystać jako hasło, ale prawie niemożliwa jest nawet dla muzyka przeliterowanie nuta po nucie lub ujawnienie przez użytkownika litera po literze.

Ponadto system został zaprojektowany tak, aby nawet w przypadku wykrycia hasła atakujący nie był w stanie wprowadzać naciśnięć klawiszy z taką samą płynnością, jak przeszkolony użytkownik. Kombinacja naciśnięć klawiszy i łatwość wykonywania w unikalny sposób wiąże hasło z użytkownikiem, jednocześnie uwalniając go od konieczności świadomego zapamiętywania czegokolwiek.

Niestety w naszym scenariuszu podróży granicznej agent może zażądać od podróżnego odblokowania urządzenia lub aplikacji za pomocą podświadomego hasła.

Zespół z California State Polytechnic University w Pomona zaproponował inne rozwiązanie w 2016 roku. Ich rozwiązanie, nazwane Chill Pass, mierzy unikalną reakcję chemiczną mózgu danej osoby podczas słuchania wybranej przez nią muzyki relaksacyjnej. Ta biometryczna reakcja staje się częścią procesu logowania użytkownika. Jeśli użytkownik jest pod przymusem, nie będzie w stanie zrelaksować się na tyle, aby dopasować się do wcześniej zmierzonego stanu „chłodu”, a logowanie się nie powiedzie.

Nie jest jasne, czy agenci CBP byliby w stanie pokonać system taki jak Chill-Pass, zapewniając podróżnym, powiedzmy, fotele do masażu i zabiegi spa. Mimo to stresy codziennego życia sprawiłyby, że regularne używanie tego rodzaju hasła byłoby niepraktyczne. System oparty na relaksacji byłby najbardziej przydatny dla osób podejmujących misje o wysoką stawkę, w których obawiają się przymusu.

I podobnie jak w przypadku innych planów uniemożliwiających kontrolę CBP, może to w efekcie przyciągnąć większą uwagę podróżnika, zamiast zachęcać funkcjonariuszy do poddania się i przejścia do następnej osoby.

Czy możesz zdobyć bezpieczeństwo?

W 2015 r. Firma Google ogłosiła Projekt Liczydło, kolejne rozwiązanie problemu „Chciałbym przestrzegać, ale nie mogę”. Zastępuje tradycyjne hasło „Trust Score”, zastrzeżonym koktajlem cech, które według Google mogą Cię zidentyfikować. Wynik obejmuje czynniki biometryczne, takie jak wzorce pisania na klawiaturze, prędkość chodzenia, wzorce głosu i wyraz twarzy. Może zawierać Twoją lokalizację i inne nieokreślone elementy.

Kalkulator Trust Score stale działa w tle smartfona lub innego urządzenia, aktualizując się o nowe informacje i ponownie obliczając wynik w ciągu dnia. Jeśli wynik Trust Score spadnie poniżej pewnego progu, na przykład obserwując dziwny wzorzec pisania lub nieznaną lokalizację, system będzie wymagał od użytkownika wprowadzenia dodatkowych poświadczeń uwierzytelniających.

Nie jest jasne, w jaki sposób uwierzytelnianie Trust Score może wpłynąć na wyszukiwanie graniczne. Agent CBP może nadal żądać od podróżnego odblokowania urządzenia i jego aplikacji. Ale jeśli agencja nie mogła wyłączyć systemu Trust Score, właściciel telefonu musiałby mieć możliwość trzymania urządzenia i używania go przez cały czas kontroli agenta. Jeśli ktoś inny spróbuje z niego skorzystać, stale przeliczany wynik zaufania może spaść, blokując śledczego.

Ten proces przynajmniej zapewni, że właściciel telefonu będzie wiedział, jakie informacje zbierają z niego agenci federalni. Nie było to możliwe dla niektórych przybywających podróżnych, w tym Obywatele USA, a nawet pracownicy rządowi.

Ale system Trust Score oddaje dużą kontrolę w ręce Google, korporacji nastawionej na zysk, która może decydować – lub może być zmuszony – zapewnić rządowi sposób na obejście tego.

I co teraz?

Żadne z tych rozwiązań technologicznych problemu z hasłami nie jest doskonałe i żadne z nich nie jest obecnie dostępne na rynku. Dopóki badania, przemysł i innowacje nie wymyślą lepszych, co może zrobić podróżnik w erze cyfrowej?

Po pierwsze, nie okłamuj agenta federalnego. To jest przestępstwo i na pewno przyciągnie więcej niechcianej uwagi śledczych.

Następnie określ, ile niedogodności jesteś gotów tolerować, aby zachować milczenie lub odmówić podporządkowania się. Niezgodność będzie kosztować: Twoje urządzenia mogą zostać skonfiskowane, a Twoja podróż może zostać poważnie zakłócona.

Tak czy inaczej, jeśli i kiedy zostaniesz poproszony o swoje uchwyty do mediów społecznościowych lub hasła lub o odblokowanie urządzeń, zwróć uwagę i zapamiętaj jak najwięcej szczegółów. Następnie, jeśli chcesz, powiadom grupę ds. cyfrowych praw obywatelskich, że tak się stało. Electronic Frontier Foundation ma stronę internetową z instrukcjami dla jak zgłosić przeszukanie urządzenia na granicy.

Jeśli uważasz, że poufne materiały mogły zostać naruszone podczas wyszukiwania, powiadom rodzinę, przyjaciół i współpracowników, których może to dotyczyć. I – dopóki nie znajdziemy lepszego sposobu – zmień swoje hasła.

O autorze

Megan Squire, profesor nauk komputerowych, Uniwersytet Elon

Ten artykuł został pierwotnie opublikowany w Konwersacje. Przeczytać oryginalny artykuł.

Powiązane książki

at Rynek wewnętrzny i Amazon